网络安全：信心还是危机？

2022版 CYBERSECURI泰: 信心 或中国国际广 播电台如果年代? 内容 3 前言和方法论 4 重要发现 5 未知的领域 9 交战规则 14 全体船员到甲板上集合 17 兵临城下 23 后 28 前景 前言&方法 前言 网络安全是一个不断变化的目标。据估计， 网络威胁造成的年度损失总额将达到10.5万亿美元 正在加强自己以应对日益严重的网络攻击。我们寻求了解组织正在进行的投资 到2025年，全球将达到3万亿美元，根据其技术防御专家的数据，他们采用的相关保险 研究小组网络安全风险投资——迫使持续企业和政府在防御方面的投资。 覆盖范围，以及他们如何看待短期内的威胁形势和中期。 在过去的两年里，挑战只会变得更大年。技术咨询公司Gartner估计，60%的 知识工作者正在远程工作，近五分之一的人将不返回办公室。这与无处不在的 采用云服务和数字集成供应 链，扩大了不良行为者的可用攻击面 渗透。再加上不断恶化的地缘政治关系， 国家支持的企业间谍活动的潜力，这是显而易见的网络挑战从未如此紧迫。 方法 2022年第二季度，Mergermarket对150名企业高管进行了调查金融服务、欧洲货币联盟和TMT平分秋色 部门，所有组织都有最低年收入 5亿美元。在150名受访者中，有120名来自 美国和欧洲30个。其中包括50位首席执行官，首席财务官或董事会成员、50名内部法律顾问和50名CSO、CISO、首席技术官或数据保护官。所有回复都是匿名的， 并在聚合结果。 公司并没有同样准备好迎接这种情况。例如，更多数字原生行业的企业，例如 科技、媒体和电信（TMT）和金融服务是比能源等历史模拟行业更适应， 采矿和公用事业（EMU），我们的研究表明。这份报告是制作以了解这些复杂性以及公司如何 重要发现 虽然绝大多数的TMT(86%) 和金融服务主管 在现有(80%)有信心 网络安全能力,只有34%的 能源、矿产和公用事业受访者有同样的感觉。 受访者识别越来越多网络攻击是他们的头号 在过去的几个网络安全挑战年,科技的快速发展 创新和各种staffing-related问题后紧随其后。 只有2%的受访者说c级高管们最终责任 对网络安全的担忧组织和16不 有专门的内部网络安全吗响应团队。 只有大约一半的受访者整体(51%)拥有专用的网络安全保险。 超过一半的受访者(53%)目前没有政策到位 应对ransomware攻击。 至于网络事件的后果而言,受访者最 担心数据泄漏(27%的第一次票),直接经济损失(20%) 和潜在罚款(19%)。 未知的领土 企业必须加强自己 越来越多的攻击向量。网络风险 缓解措施对于预防至关重要，不仅要预防财务损失,而且品牌损害和沉重 从监管机构罚款。虽然占明显多数的受访者(63%)认为,在我们的研究网络安全是至关重要的组织, 包括32%的人强烈同意，有一个值得注意的部门之间的界定。 对他们的组织至关重要，该子集主要的鸸鹋受访者中,70%承认他们将更密切地关注网络安全前进。 您在多大程度上同意以下说法： “网络安全和网络风险缓解对于我们的组织”? 1% 15% 2% 34% 0% 6% 20% 21% 0% 6% 8% 38% 28% 31% 36% 46% 48% 32% 26% 总计 2% 能源、矿产 和公用事业 金融服务 台湾海陆 运输公司 强烈同意 同意 既不同意 也不同意 不同意 强烈反对 如果“既不同意也不同意。” “不同意”或“强烈反对”,你希望成为网络安全吗优先考虑你的组织 短期内? 70% 30% 我们打算 奉献很多更多的资源对网络安全 我们将会看 在网络安全更紧密地 前进 领先是公司高管(86%),紧随其后通过金融服务同行(74%) 显然在协议的重要性组织的安全措施。远 背后是鸸鹋部门有超过三分之一 (36%)的受访者的行业 同意还是不同意,网络风险的措施 是必不可少的，事实上许多人不同意这一论断。 然而,即使在16%的少数民族在所有不同意网络风险缓解的部门 尽管近一半的受访者网络漏洞严重到 要求监管机构和/或通知 受影响的个人,声称67%的信心 在检测和组织的能力 减轻违反。 成本意识 公司必须仔细思考 网络安全预算。没有一刀切的—— 所有方法。不过，有一件事是明确的——花钱正在上升。据估计,支出 在网络防御和风险缓解总计 1500亿年的2021美元,增长12% 根据Gartner的数据，一年前。这是预计2022年将进一步上升，与 威胁的数量和提供商提高费用在持续的通货膨胀。 “保护他们的公司及其资产从一个 重大网络攻击是每件事情的头等大事 董事会成员的想法，“Pillsbury的JustinHovey说科技产业集团的领导人。 组织支出的不到5% 对网络安全技术/IT预算 绝对的少数派。我们的研究表明 不到一半(49%)的6%--10%之间的分配这个预算用于这些目的，41%是指导10%以上的安全措施。 组织金融服务和TMT 行业是最大的配置者，这说明了 他们最有价值的资产的性质是数据。多 一半（52%）的银行和其他金融公司表示他们直接向10%以上的IT预算 加强网络安全，48%的TMT公司 说的是一样的。只有24%的高管EMU公司都采取同样的预算措施。 目标环境 网络安全通常感觉像是一场打击游戏 A-鼹鼠。对于每一个被抵御的威胁载体，出现了另一种攻击模式。犯罪分子继续开发渗透组织的新方法，同时 入侵的数量在不断上升 轨迹。联邦调查局的互联网犯罪投诉 例如,中心报告了847376投诉2021年涉嫌网络犯罪，比前一年。 贵组织的技术大致有多少/ IT预算是否分配给网络安全相关事宜？ 41% 24% 52% 48% 60% 49% 44% 44% 16% 10% 8% 4% 总计 能源、矿产 和公用事业 金融服务 台湾海陆 运输公司 1%--5%之间 6%--10%之间 超过10% 在我们的调查中，四分之一的受访者，最大的分享报告,网络安全第一 挑战他们的组织声称 在过去的几年里，一直在上升的速度网络攻击。“越来越多的攻击是 高于我们预期,”首席执行官说 美国经济和货币联盟公司。“DDoS攻击也增加,有时我们无法找到 按时攻击源。它可以破坏我们的整个操作。我们关心的是长期的 影响我们的声誉。” 与网络安全相关的最大挑战是什么 您的组织在过去几年中遇到了什么？等级1-2,1=最大的挑战 网络攻击的增加速度 25% 18% 技术创新速度 19% 19% 采购内部网络安全专业知识 19%13% 对所有员工进行适当的网络安全实践培训 15% 寻找合适的第三方网络安全提供商 10% 9% 15% 资金不足/说服主要利益相关者在网络安全方面投入更多资金 6%13% 全球监管的复杂性 4%7% CSO/CISO与其他组织领导人之间的沟通不畅 1%1% 国内监管的复杂性 1%5% 12 这是一个永无止境的之间的竞争恶意行为者及其目标，尤其是企业继续将其运营数字化。Gartner估计，多达91%的企业目前从事某种形式的数字吗 主动。这绝不是孤立于数字本机如TMT或金融服务和行业 意味着各行各业的企业必须采用网络严重的风险。 “鉴于数据驱动决策的数量 流程，云上有很多数据，而且在传统的存储系统。网络攻击是 针对所有类型的系统，“美国首席财务官说台湾海陆运输公司。 在这个技术创新步伐 公司和他们的攻击者,被19%的 我们的调查受访者最大的网络安全挑战。并列第二，也占19%的 投票是公司采购的困难 足够的内部网络的专业知识,为公司 要求限量供应的喧嚣。两者显然是相辅相成的——在手。没有必要的专业知识 组织，不可能嵌入最好的技术防御。 规则订婚 下列哪一项技术或 你目前使用的政策来缓解安全风险? 70% 多因素身份验证访问 67% 定期更改密码的提示 66% 监测监管发展 62% 人工智能威胁检测 56% 频繁的网络事件反应测试 44% 渗透测试 40% 生物认证技术 40% 教育员工在雇佣网络安全 23% 强制使用虚拟私有网络(VPN) 22% 隐私保护屏幕 3% 您对组织能力的信心如何 检测和缓解的现有网络安全功能网络攻击? 0% 4% 10% 58% 28% 20% 金融服务 和公用事业 台湾海陆 运输公司 非常 自信 自信 既不自信 不犹豫的 缺乏信心的 非常 缺乏信心的 一样具有挑战性的管理网络安全风险总体上，受访者对 他们目前正在采取的措施。三分之二（67%） 对组织的能力持乐观态度现有的网络安全功能检测和 常规网络安全培训项目 1% 2% 0% 减轻攻击，包括17%的人说他们非常 88% 14% 32% 8% 自信。台湾海陆运输公司和金融服务管理人员 评估供应商的风险 12% 表达最大的信心，EMU再次落后。整整86%的TMT受访者和80%的财务受访者 定期的软件升级 71% 18% 60% 50% 32%32% 17% 总计 2% 能源、矿产 服务主管对他们目前的 系统，而只有34%的系统在EMU空间中持这一观点。 对入侵可以支撑一个组织缩小至两种方法:技术 和人类。公司可以安装最强 防火墙和恶意软件保护可用,但是只需一名员工点击恶意 链接以造成严重损坏。这就是为什么教育倡议是如此重要，在 后,大流行。 瑞士经济和货币联盟的内部法律顾问公司所观察到的:“坏演员正在利用 远程工作,所以公司需要升级 他们的防御。他们还需要更多的时间教育员工如何遵守 数据保护规范,”他们说。“有网络安全公司的机会 开发解决方案相关的远程工作特别是。” 最常见的受访者的政策用来减轻安全风险包括 常规网络安全培训项目(引用88%),评估供应商(71%)和风险常规软件更新(70%)。其他几个程序或技术被大多数人引用 的受访者,其中最尖端 是使用人工智能（AI）应对威胁检测(56%)。 持续学习 您有哪些形式的网络安全教育或测试 组织员工进行培训吗? 97% 81% 61% 44% 在线培训 面对面的培训 参加 网络安全会议 网络钓鱼 模拟 员工培训是任何成功的基石网络安全项目,和我们的受访者 认识到这一事实。几乎所有（97%）都在线提供对员工进行培训，81%的人表示他们给予 面对面培训。这些努力也没有白费， 虽然还有进步的余地。总体而言，55%的受访者要么有信心，要么非常有信心 他们组织的所有员工都知道 “组织正面临着越来越多的缓解挑战网络风险，采取更主动和更少的反应保护环境的措施。你不能解决什么不过,你不能测量。可信的、实时的安全 评级，就像信用评级一样，现在是组织实现更高的自身可见性 整个攻击面并持续测量和 监亚历山控大博士第Yamp三olsk方iy 供应商”。 SecurityScorecard的创始人和CEO 面对以下迹象时的最佳行动方案 让员工跟上进度的一个主要挑战是 您对组织中的所有员工有多大信心 网络或网络攻击风险。 网络威胁性质变化的速度，导致程序成为过时 知道面对迹象时的最佳行动方案网络风险或网络攻击? 具体而言，68%的受访者来自金融业 很快。公司必须认识到的 服务业和70%的TMT同行 不断更新他们的内容并注意 既自信又很有信心在这一点上, 知识差距。“即使是一年前的培训 15% 34% 8% 货币联盟,而只有26%的受访者报告 不会准备团队足以保护系统 24% 相同的。然而,也有45%在所有承认自己既不自信也不自信的行业 和减轻今天的风险,”CISO的承认美国货币联盟的公司。“我们必须保持他们 30% 犹豫的或完全缺乏信心的(15%) 了解最新的攻击和方法 40%66% 员工做出适当反应的能力 网络罪犯使用。” 49% 到网络攻击。这种认识差距需要 关闭那些落后。 4% 26% 56% 26% 14% 6% 总 0% 能源、矿产 和公用事业 2% 金融服务 台湾海陆 运输公司 非常 自信 自信 既不自信 不犹豫的 缺乏信心的 建立路障 “金融机